DNS microsoft ouverts

[moldar]

Bonjour !!

J'ai un petit soucis avec mes serveurs DNS (Windows 2003).
Ils font autorité sur un certain nombre de domaines et je viens de m'apercevoir qu'ils étaient ouverts. Pas de problème, je désactive la récursivité ==> problème réglé, sauf que...
Je ne peux plus les utiliser pour résoudre mes requêtes DNS (pour aller sur google par ex)...
Pas de problème, j'utilise les redirecteurs (vers les DNS de mon FAI) sur tous les domaines pour lesquels mes DNS ne font pas autorité...
Non plus, la désactivation de la recursivité désactive les redirecteurs...

Que faire ?? (dans un premier temps je ne souhaite pas utiliser les DNS de mon FAI sur mon poste)

Merci pour votre aide

 

[lafouine4478]

Bonjour,

Je pense que tu ne t'ais pas posé les bonnes questions.

Qu'est-ce qu'un serveur DNS ?

C'est un site Internet abritant une base de données où sont enregistrés les noms Internet des ordinateurs du réseau ainsi que leur adresse Internet correspondante. Le serveur de noms de domaine est consulté par toutes les applications fonctionnant sur Internet afin de connaître les traductions d’adresses nécessaires à l’expédition des messages dans le réseau.

comment fonctionne un serveur DNS ?

Vous devez être connecté pour voir les liens.

Donc pourquoi le fermer il n'y a rien de secret ou d'importance capitale a pirater puisque 13 de ces serveurs sont au vu de tous qui sont d'ailleurs appeler serveur racine et que tu as besoin de requete recursive pour faire ces resolution de nom.

Vous devez être connecté pour voir les liens.

De plus en general ont met ces serveurs dans la DMZ pour des raisons de securite ainsi les ports qu'utilise ton serveur ne sont pas ouvert dans le pare feu de ton routeur relier au net.

Vous devez être connecté pour voir les images.

 

[moldar]

Bonjour !!

Merci de ton intervention mais je crois que tu ne réponds pas aux bonnes questions
Le problème est que, étant donné qu'ils sont actuellement ouverts, n'importe qui peut leur demander de résoudre n'importe quelle adresse. Et de ce fait n'importe qui peut leur demander de résoudre une infinité d'adresse, provoquant ainsi un DOF.

C'est ça que je souhaiterais éviter.

 

[lafouine4478]

Oui j'avais bien compris ta question mais le but d'un serveur DHCP c'est de resoudre n'importe quelle adresse pour n'importe qui.

Et si tu rencontre ces problemes c'est peut-etre du a un serveur DHCP trop faible.

Ok la je peux peut-etre te donner une solution.

Filtrage de l'acces du serveur DNS par un firewall qui filtre les paquets entrants type Kerio, antihacker de Kaspersky.... Il faudrait voir si il y a pas une option identique "menu networking" que l'on trouve sous linux qui permet justement un "filtrage firewalling".

sinon tu mets ton serveur DNS derriere un pont qui filtre les adresses MAC.

Vous devez être connecté pour voir les images.

 

[moldar]

Merci de te pencher sur mon prob.
Mon serveur DNS est déja derrière un firewall, qui ne laisse rien passer si ce n'est les requêtes à destination des ports 53/tcp et 53/udp (DNS quoi).
Je vois pas bien quelle règle mettre en place pour empêcher les DOF...

 

[Neoryuki]

http://www.laboratoire-microsoft.org/articles/win/delegation_dns/
http://www.laboratoire-microsoft.org/articles/network/zonedns_win_2003/

 

[moldar]

Bah je le sais déja ça copain [:aiua]

 

[matthlop]

J'ai exactement le même problème que toi moldar, donc si tu as eu une réponse depuis, je suis preneur!

 

[moldar]

Bah en fait il n'y a pas de solution
Si tu héberges (au sens DNS) tes propres domaines alors tu dois :
- désactiver la récursivité sur tes serveurs DNS : tu passses alors en mode itératif, mode où le serveur ne résoud que les domaines qu'il possède dans sa base de données
- configurer tes postes clients pour qu'ils utilisent les DNS de ton FAI (puisque TES DNS ne seront pas capables de résoudre les requêtes DNS classique du genre "donne moi l'IP de google.com", à moins que tes DNS fassent autorité sur le domaine google.com bien évidemment )